Типичные ошибки при защите сайтов от CSRF-атак
В настоящее время в сфере обеспечения безопасности веб-сайтов и приложений возникла очень интересная ситуация: с одной стороны, некоторые разработчики уделяют особое внимание безопасности, с другой, они напрочь забывают о некоторых видах атак и не считают ошибки, позволяющие выполнить данные атаки,...
SAP SDM. 6 букв — много проблем
Существует множество способов скомпрометировать ERP-систему SAP. Это и неудивительно, ведь SAP-инсталляция представляет собой огромное число различных модулей, написанных на разных языках программирования и доступных пользователю по самым разнообразным протоколам: от классического HTTP до...
Разблокировка телефона с помощью NFC-клипсы: игра в одно касание
Две недели назад на хабре появился топик, посвященный мошенничеству через перевыпуск симки и снятие денег в Сбербанке. Тогда же комментариях один из читателей написал: «Вот вот, а в обсуждении приложения для Android очень много написано про то, что если потерял телефон и сразу считай потерял...
[Из песочницы] Error based MySQL injection или не надо ругаться
Несколько дней назад был случайно обнаружен сайт с ругательствами на разных языках. Допустим, его адрес example.com. На этом сайте есть список языков, ругательства на которых были внесены в «базу знаний». URL для доступа к каждому языку формировался так:...
Насколько опасен открытый рекурсивный DNS-сервер?
Неоспоримо, что «выставляя сервер» в интернет необходимо позаботиться о его безопасности и максимально ограничить доступ к нему. Протокол DNS может использоваться как для атак на инфраструктуру (DNS сервер, канал) жертвы, так и для атаки на другие компании. За последний год количество таких атак...
Apple исправила важную уязвимость в iCloud
Компания Apple исправила уязвимость в сервисе iCloud (точнее, в его функции «Найти iPhone»), которая позволяла злоумышленникам проводить атаку типа brute force и подбирать пароль к аккаунту сервиса (т. е. получать пароль Apple ID). Злоумышленникам уже должен был быть известен адрес электронной...
[Из песочницы] «Гражданское» электромагнитное оружие
Когда говорят об угрозе со стороны всевозможных террористов, то обычно широкими, щедрыми мазками рисуют сцены всевозможных взрывов. В особо одарённых странах доверчивое население пугают атомными бомбами разной степени самодельности из якобы разворованных арсеналов. В последние годы также вполне...
Microsoft отказалась подчиниться судебному ордеру и выдать письма пользователя
После получения судебного приказа от федерального суда США предоставить содержимое почтовой переписки пользователя, чьи данныен хранятся на зарубежном хостинге, компания Microsoft отказалась подчиниться приказу. Это первый случай в истории, когда американская компания отказывается выполнить...
Спецназ задержал игрока в Counter-Strike во время трансляции игры
Популярный в США стример Джордан Мэтьюсон (Jordan Mathewson), известный также под ником Kootra, был задержан полицейским спецназом во время прямой трансляции игры Counter-Strike: Global Offensive, а процесс его задержания был зафиксирован камерой компьютера. Зрители данного стрима наблюдали за...
Спецназ задержал игрока в Counter-Strike во время трансляции игры
Популярный в США стример Джордан Мэтьюсон (Jordan Mathewson), известный также под ником Kootra, был задержан полицейским спецназом во время прямой трансляции игры Counter-Strike: Global Offensive, а процесс его задержания был зафиксирован камерой компьютера. Зрители данного стрима наблюдали за...
Новое обновление Microsoft KB2993651 тоже может вызывать BSOD
Новый адпейт от Microsoft, под номером KB2993651, пришедший на замену небезызвестному KB2982791 вызывающему BSOD у многих пользователей также небезопасен! Читать дальше →...
Решение проблемы «Man-in-the-middle» в ММО компоненте Tornado
О самой проблеме: ru.wikipedia.org/wiki/MITM Решение: 1. Сначала как обычно происходит передача ключа RSA public-key. Клиент отсылает серверу открытым пакетом публичный ключ RSA. 2. Сервер получает публичный ключ RSA и шифрует им ключ AES, посылаемый клиенту. Клиент получает ключ AES и после чего...
Исследование: самыми уязвимыми для хакеров оказались сайты на PHP
Атака на корпоративный сайт не только нарушает работу онлайновых услуг и подрывает репутацию владельцев, но зачастую становится первым этапом взлома внутренних сетей крупных компаний. При этом, согласно исследованию компании Positive Technologies, в последнее время заметно возросло количество...
[Из песочницы] Как я банку на баги указывал или Об утечке данных
История эта длится уже полгода и связана с раскрытием персональной информации одним из московских банков. Поскольку до конца ошибка не ликвидирована, я не буду указывать, какой именно банк имеется в виду. По этой же причине сканы документов здесь не выкладываю, но «у меня их есть». Итак, где-то...
[Из песочницы] Как я банку на баги указывал или Об утечке данных
История эта длится уже полгода и связана с раскрытием персональной информации одним из московских банков. Поскольку до конца ошибка не ликвидирована, я не буду указывать, какой именно банк имеется в виду. По этой же причине сканы документов здесь не выкладываю, но «у меня их есть». Итак, где-то...
[Перевод] Ваши анонимные публикации в Secret все-таки не анонимны
«Белый хакер» Бен Каудилл (Ben Caudill) уже наполовину доел свой сэндвич, когда как бы невзначай потянулся за своим iPhone, несколько раз провел пальцем по экрану, а затем передал его мне со словами «Это ты написал?» Да, это я написал, но никто не должен был об этом узнать. Он показывал мне один из...
[Из песочницы] Секреты Metasploit
Вступление В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплоитов. Так был рожден хорошо известный во всех кругах проект Metasploit. Первая версия фреймфорка была написана на языке Perl, содержавшая псевдографический интерфейс на базе...
64-битный Chrome вышел в релиз
Ранее мы писали, что разработчики веб-браузера Google Chrome выпустили в бету долгожданную версию браузера с нативной поддержкой 64-битных версий Windows 7-8-8.1. Теперь же эта версия вышла в релиз и доступна для скачивания на странице загрузки Google Chrome (англоязычная версия сайта Google...